Incidencias de Seguridad en la Ley de Protección de Datos

La LOPD obliga a llevar un registro de incidencias de seguridad. ¿Lo lleva su empresa?

El Artículo 90 del Reglamento de la Ley de Protección de Datos personales, lleva por título: Registro de Incidencias, y su texto dice que se deberá llevar un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y que se deberá llevar un registro de incidencias.

En las auditorías LOPD se pone de manifiesto que una gran mayoría de empresas no lleva ningún tipo de registro de incidencias de seguridad. Es posible que en el periodo de 2 años previos a la auditoría lopd no se haya producido ninguna incidencia,y por eso el registro de incidencias está en blanco.

Pero esto resulta difícil de aceptar y cuando se profunciza un poco en el tema se ve que lo que ocurre es que no se está cumpliendo esta exigencia de la LOPD. Probablemente es por no contar con una herramienta informática que ayude a ello, o porque no se le da importancia a este tema.

Lo cierto es que no llevar ese registro significa un incumplimiento de la Ley de Protección de Datos. Y son muchas las empresas que la incumplen por culpa de  no llevar este registro de incidencias y que por tanto están expuestas a una sanción por parte de la Agencia de Protección de Datos.

Por si acaso alguna de esas empresas tiene alguna dificultad para definir incidencias voy a enumerar algunos hechos que se deben considerar como incidencias y deberían reflejarse por tanto en ese hipotético registro de incidencias:

EJEMPLOS DE INCIDENCIAS DE SEGURIDAD

Modificaciones / accesos no autorizados de información.

La no revisión o modificación del Documento de Seguridad cuando ello fuera preciso

Pérdida de información.

Copias indebidas de datos en los puestos de trabajo.

Mal funcionamiento durante la realización de copias de seguridad.

Errores del sistema / transacciones / base de datos.

Accesos no autorzados a las salas donde se ubiquen los sistemas y soportes informáticos (CPD, oficina, caja de seguridad, etc.).

Caída del sistema informático.

Intento no autorizado de salida de soportes.

Destrucción total/parcial de soportes físicos.

Conocimiento por terceros del identificador de usuario y contraseña.

Existencia de sistemas sin las debidas medidas de seguridad.

Cambio de ubicación física de los ficheros.

La no realización de las copias de respaldo preceptivas en el tiempo que se fija en el Documento de Seguridad.

Para los ficheros de nivel medio de seguridad:

La carencia de los controles periódicos que deben ser efectuados.

La omisión de registro en la entrada o salida de los soportes, o bien la falta de constancia de los datos que deban ser registrados.

El incumplimiento de las medidas establecidas para el desecho o reutilización de los soportes.

La falta de autorización por escrito del responsable del fichero, para poder ejecutar la recuperación de los datos.

Para los ficheros de nivel alto de seguridad:

La distribución en soportes, o transmisión por redes de telecomunicación, de información legible o susceptible de ser manipulada.

La omisión de alguno o todos los datos que deben figurar en el registro de acceso.

La eliminación de los datos del registro de acceso antes del periodo de dos años.

La omisión de comprobaciones periódicas, en el tiempo establecido en el Documento de Seguridad.

Comments are closed.